前言

最近研究人員發(fā)現(xiàn)了一個惡意活動中的注入腳本，其可以將虛假瀏覽器更新推送給網(wǎng)站訪問者：

黑客網(wǎng)站上的虛假Firefox更新提醒

當用戶訪問這些黑客網(wǎng)站時，會彈出一個消息框，聲稱是瀏覽器“更新中心”(這些顯示的瀏覽器是Firefox，但也有Chrome、InternetExplorer和Edge瀏覽器的此類消息)。

具體提醒內容是：”由于瀏覽器版本過時，出現(xiàn)了一個嚴重的錯誤。因此請盡快更新您的瀏覽器。“為了使這一聲明顯得更加真實，惡意軟件在后臺顯示一些亂碼文本。

“安全中心”建議下載并安裝更新，以避免“丟失個人和存儲數(shù)據(jù)，以及機密信息泄露和瀏覽器錯誤 ”。下載鏈接指向某個受損第三方站點上的exe和zip文件。許多防病毒軟件通常可以很好地檢測到有效負載。

腳本注入

研究人員已經(jīng)確定了最近幾次這類惡意活動。黑客可以選擇向受損網(wǎng)頁注入外部腳本鏈接，或是注入整個腳本代碼。

外部Update.js腳本

以下是此惡意活動中使用的一些外部腳本鏈接示例：

hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js  
hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js  
hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js 

這些update.js文件中包含一個混淆腳本，用于創(chuàng)建虛假的瀏覽器更新覆蓋窗口，其中還附有虛假更新文件的下載鏈接，例如：

hxxp://kvintek.com[.]ua/templates/ja_edenite/admin/update_2018_02.browser-components.zip 

VirusTotal上有14個防病毒軟件將此文件標識為特洛伊木馬，此網(wǎng)頁中還可以發(fā)現(xiàn)更多類似的文件。

今年1月在kvintek[.]com.ua上發(fā)現(xiàn)的另一些可疑URL下載鏈接為：

hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update_2018_01.exe 

內聯(lián)腳本

在某些時候，黑客不會向受損網(wǎng)頁注入外部腳本鏈接，而是注入完整的惡意JavaScript代碼。

在DLE網(wǎng)站上的HTML代碼底部注入虛假更新代碼

注入的代碼非常龐大(90+Kb)。為了隱藏它，黑客增加了70多條空行，寄希望于網(wǎng)站管理員在看到空屏幕后停止瀏覽代碼。在這一點上，研究人員發(fā)現(xiàn)有多達117個網(wǎng)站存在此類惡意軟件。

隨后，攻擊者切換到上述的注入外部鏈接，這樣做可能是為了使注入的代碼不那么突出。但是，外部鏈接有一個明顯的缺點——很容易被列入黑名單——因此他們切換為注入完整的腳本。新腳本顯然更小——不超過30Kb，并且不包含純文本的下載鏈接。

新版本的注入腳本

新版本的惡意軟件在受感染的第三方網(wǎng)站上使用以下有效負載鏈接：

hxxp://alonhadat24h[.]vn/.well-known/acme-challenge/update_2018_02.browser-components.zip 
 
hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.browser-components.zip 
 
hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.browser-components.zip 

標題4虛假JPG文件暗藏惡意軟件

zip文件非常小，大約只有3Kb大小，對于真正的Windows惡意軟件來說遠遠不夠。通過仔細分析，發(fā)現(xiàn)它只包含一個.js文件，其名稱如下：

update_2019_02.browser-components .js

該文件名在components后包含100個空格字符，看起來像是為了隱藏文件擴展名。因此JavaScript文件被混淆了，它具有以下加密關鍵字：

很容易看到代碼使用Windows腳本主機功能下載外部文件，執(zhí)行它們，然后刪除。

在這種情況下，腳本會嘗試從受感染的第三方站點下載browser.jpg文件。這里很容易被.jpg擴展名所迷惑，實際上它是使用cmd.exe /c 命令啟動的Windows .exe文件。

此shell腳本的新版本使用以下下載鏈接：

hxxp://giasuducviet[.]vn/administrator/backups/browser.jpg 
 
hxxp://farsinvestco[.]ir/wp-content/themes/consulto-thecreo/languages/browser.jpg 

VirusTotal掃描顯示虛假.jpg文件包含勒索軟件：

Browser.jpg被檢測到勒索軟件

結論

此攻擊活動顯示了黑客們是如何在攻擊的各個階段利用受感染的網(wǎng)站——將腳本注入合法網(wǎng)頁，以及托管惡意二進制下載文件。

雖然外部掃描儀可以檢測到第一種類型的感染，但是如果不訪問服務器，則很難檢測到第二種類型(惡意下載)。在這種情況下，各種防病毒軟件的黑名單可能會有所幫助——客戶端防病毒軟件會查看惡意下載源自何處。